关于ip route-cache flow 和netflow

利用ip route-cache flow这个接口配置命令，可以为IP路由启用NetFlow交换，为了禁用NetFlow交换，可以利用该命令的“no”格式进行。

ip route-cache flow

no ip route-cache flow

句法描述

该命令没有变量或关键词

默认情况

禁用

命令模式

接口配置模式

操作要点

该命令第一次出现时是在Cisco IOS 11.1版中。

NetFlow交换是一个高性能的网络层交换路径。作为其交换功能的一部分，它还可以获取丰富的统计信息。这些统计信息包括：用户、协议、端口和服务类型等数据，这些信息用途很广，可以用来进行网络分析和规划，还可以进行记费、结帐等。为了输出NetFlow数据，可以利用ip flow-export这个全局配置命令进行。

对于所有的接口类型，IP数据或IP封装的数据都支持NetFlow交换，但ATM LANE封装不支持NetFlow交换。当在接口上使用多个输入访问控制列表时，ISL/VLAN、ATM、帧中继封装不支持NetFlow交换。

网络层上的常规交换中，每个进入的数据包都要单独处理，利用一系列函数去检查访问列表、获取记帐数据、交换该数据包。而在NetFlow交换中，如果已经标识了信息流，而且对信息流中第一个数据包已进行了访问列表处理，那么后面所有的数据包都作为信息流的一部分，在面向连接的基础上进行处理，这样就绕过了访问列表的检查，进而依次对数据包进行交换和获取统计信息。

NetFlow 被标识为源头和目的地之间的一个单向的数据包流，而源头和目的地都定义了网络层的IP地址和传输层的端口号。特别地，一个信息流（flow）被标识成下列字段的组合：·源头IP地址

·目的地IP地址

·源头端口号

·目的地端口号

·协议类型

·服务类型

·输入接口

NetFlow交换中要创建一个信息流高速缓存，里面包含对所有活动信息流进行交换和访问列表检查所需要的信息。利用标准的快速交换路径先处理信息流中的第一个数据包，这样就生成了NetFlow高速缓存。结果是，每个信息流都与一个即将到来的接口端口号和要发出的接口端口号相关联，并且有一个特定的安全访问权限和加密策略。高速缓存中还包含用于数据流统计的条目。随着后面数据包的交换，这些条目也不断地更新。NetFlow高速缓存被创建后，那些被标识为属于现有的一个信息流的数据包即可以依据高速缓存信息被交换，从而绕过了安全访问列表检查。对于所有活动信息流，在NetFlow高速缓存中保留相应的信息流信息。

NetFlow交换是可用的交换模式之一。当你在一个接口上配置NetFlow时，这个接口就不再使用其它的交换模式了。还有，利用NetFlow交换，你可以把数据（数据流统计信息）输出到一个远端工作站，以便进一步处理它们。

在一个路由器中，NetFlow交换涉及到标识数据包信息流、执行交换和处理访问列表。它不涉及路由器之间的任何连接设置协议，也不涉及对其它任何网络设备或端点工作站的连接设置协议。它也不要求对数据包本身或其它任何网络设备进行任何外部修改。所以，NetFlow 交换对现有的网络（包括端点工作站、应用软件和网络设备，比如LAN交换机）是完全透明的。还有，因为NetFlow交换在每个互联的网络设备中独立地进行，所以并不需要在网络中的每个路由器中都操作它，网络规划人员可以在路由器/接口的基础上有选择地激活NetFlow交换（和NetFlow数据输出），这样就可以在特定的网络位置上进行数据流交换、控制和记帐。

注意：比起其它的交换模式，NetFlow要消耗更多的内存和CPU资源，所以在启用NetFlow 之前，理解路由器所需的资源非常重要。

示例

下面的例子在接口上启用NetFlow交换：

interface ethernet 0/5/0

ip address 17.252.245.2 255.255.255.0

ip route-cache flow

下面的例子使接口回到默认状态（启用快速交换，禁用自主交换）：

interface ethernet 0/5/0

ip route-cache

NETFLOW配置及软件

一、测试环境介绍 1、硬件1台6509交换机，1台3745路由器 IOS (tm) c6sup2_rp Software (c6sup2_rp-JS-M), Version 12.1(22)E6, RELEASE SOFTWARE (fc1) System image file is "disk0:c6sup22-js-mz.121-22.E6.bin" IOS (tm) 3700 Software (C3745-IS-M), Version 12.2(13)T5, RELEASE SOFTWARE (fc1) System image file is "flash:c3745-is-mz.122-13.T5.bin" 2、软件solarwinds NetFlow Traffic Analysis 3.0、 ManageEngine_NetFlowAnalyzer_7002、二、硬件配置 1、NETFLOW配置文档。 2、6509配置 mls netflow mls flow ip destination-source mls nde sender version 5 (我们的设备只有版本5) ip flow-export source Loopback0 （如果有L0接口用其他接口也可以） ip flow-export version 5 ip flow-export destination 192.168.4.165 2055 （2055是SOLAR公司的NETFLOW端口，9996端口是manangeengine公司的端口。两个端口号都是UDP 协议）到此配置结束通过下面命令显示配置结果 CAT6509_1#show mls nde Netflow Data Export enabled Exporting flows to 192.168.4.165 (2055) Exporting flows from 218.30.64.33 (57965) Version: 5 Include Filter not configured Exclude Filter not configured Total Netflow Data Export Packets are: 612381 packets, 0 no packets, 16537978 records Total Netflow Data Export Send Errors: IPWRITE_NO_FIB = 0

netflow安装过程

Netflow安装步骤一、安装linux 操作系统，安装是要把apche(www服务器)组件和development tools(编译安装工具)选上二、部署flow-statcgi Flow-statcgi是一个基于flow-tools的browse/server结构（cgi）的NetFlow数据分析工具。 2.1cisco设备的设置 cisco设备的NetFlow支持,首先要培植cisco设备，使之产生NetFlow数据，输出到服务器的2055端口上。 2.2安装flow-tools 0.56 使用flow-tools来接收NetFlow数据，并保存成文件。为了顺利编译flow-statcgi，要将flow-tools的源文件解压缩到/root下： 1．将flow-tools-0.56.tar.gz复制到服务器的/root目录下。 2．cd /root ; tar zxvf flow-tools-0.56.tar.gz ; cd flow-tools-0.56(这是三个命令用一行执行) 3．./configure 4．make 5．make install 2.3安装apache server 使用apache server来做http服务器。由于各apache server的配置不一样，在flow-statcgi中假设cgi-bin目录为/var/www/cgi-bin，www目录为/var/www/html。如果有变动，需要修改flow-statcgi.c中的“DEBUGFILENAME”、make_flow_cgi.sh中的“/var/www/cgi-bin/” 三、编译和安装flow-statcgi 3.1预处理 1．将flow-statcgi.c复制到/root/flow-tool-0.56/src/，将flow-statcgi.temple.html复制到/var/www/cgi-bin/（cgi所在目录），将flow-statcgi.log.html复制到 /var/www/html/（html所在目录），注意要在这里把flow-statcgi.log.html的属性加个可写属性。 2．修改flow-statcgi.c中的“DEBUGFILENAME”（要改成html文件所在的位置）、“DataDir”（要改成flow-tool数据所在目录） 3．修改flow-statcgi.c中的“isip”部分，同时修改“ISIPCOUNT ”、“isipdesc”，“isip”。详细说明见《Flow-statcgi使用说明》中的“预定义条件”。 3.2编译、安装把make_flow_cgi.sh这个文件拷贝到/root目录下，修改make_flow_cgi.sh中的“/var/www/cgi-bin”为cgi所在目录。执行一下命令进行编译、安装“sh make_flow_cgi.sh flow-statcgi”，这样会在cgi目录下面生成一个flow-statcgi的cgi文件。其中编译之后会出现警告信息，可以忽略不管。四、运行flow-tools 1．把startflowreceive.sh和starflowcapture.sh这两个shell命令文件拷到/root目录下2．执行“sh startflowreceive.sh”命令 3．执行“sh startflowcapture.sh”命令

使用nfsen+sflow+netflow分析网络流量

使用nfsen+sflow+netflow分析网络流量一.前言因为发现有一台hp交换器的负载特别高，但要找出那个IP 造成的，单以tcpdump 分析起来会很难发现问题，因此想要利用hp 交换机具有的sflow功能并搭配nfsen 来分析sflow 结果，如此可以帮助我们分析网络中的流量组成，抓取实施带宽使用情况，帮我找出"hog"。最终也让我达到目的，感谢open source 相关组织及多位不计付出的IT 前辈。需求系统及软件 OS: CentOS 6.8 X64 / CentOS 7.6 X64 nginx-1.9.15.tar.gz php-7.1.15.tar.bz2 nfdump-1.6.13.tar.gz nfsen-1.3.7.tar.gz 二.下载资源 https://www.360docs.net/doc/23309484.html,/download https://www.360docs.net/doc/23309484.html,/download/nginx-1.9.15.tar.gz https://www.360docs.net/doc/23309484.html,/nfsen/nfsen-1.3.7.tar.gz https://www.360docs.net/doc/23309484.html,/project/nfdump [注] https://www.360docs.net/doc/23309484.html,/nfsen预设下载的版本是 1.3.6p1 ，但这个版本我在centos 6.8 及7.3 都发生相同的错误，也许是运气不佳，但使用nfsen-1.3.7.tar.gz 到是没什么问题三.ngnix 及php 的安装相关rpm 安装 yum -y install gcc-c++ pcre pcre-devel zlib zlib-devel openssl openssl-devel yum -y install libxml2 install libxml2-devel openssl openssl-devel \ curl curl-devel libjpeg libjpeg-devel libjpeg libjpeg-devel libpng \ libpng-devel freetype freetype-devel pcre pcre-devel libxslt \ libxslt-devel bzip2 bzip2-devel libxslt libxslt-devel [ngnix 安装] useradd www tar -xvf nginx-1.9.15.tar.gz cd nginx-1.9.15 /configure --prefix=/ap/nginx ＃＃你可以不加--prefix这这参数，这样会安装在/usr/loca/ngnix 目录下 make && make install [ ngnix.conf 设定档修改] (1)user www www; ##必须加上group 否则会有nginx: [emerg] getgrnam("www") failed in ... 错误 (2)location / { root html; index index.php index.html index.htm;

基于NetFlow的网络流量采集技术和应用

第31卷　第23期 2009年12月武　汉　理　工　大　学　学　报JOURNA L OF WUHAN UNIVERSIT Y OF TECHN OLOG Y Vol.31　No.23　Dec.2009DOI :10.3963/j.issn.167124431.2009.23.037 基于N etFlow 的网络流量采集技术和应用孟晓蓓 (武汉大学计算机中心,武汉430072) 摘　要:　针对计算机网络状况监控领域的实际需要,提出了基于Net Flow 的流量采集技术。相比其它的流量采集工具,Net Flow 的流量采集技术具有配置方便,费用低,占用资源小的优点。分析了Net Flow 交换技术采集网络流量信息的实现原理。并从计算机网络的网络层和传输层2个方面,讨论了Net Flow 网络流量采集技术在网络信息安全方面的相关应用。关键词:　流量采集;　Net Flow ;　网络攻击中图分类号:　TP 393.06文献标识码:　A 文章编号:167124431(2009)2320155204 N et work Flux Collection T echnique B ase on N etFlow and Its Application M EN G Xiao 2bei (Computer Center ,Wuhan University ,Wuhan 430072,China ) Abstract :　This paper proposes the network flux collection technique based on net flow according to practical requirements in the field of monitoring the status of computer https://www.360docs.net/doc/23309484.html,pared to other flux collection tools ,Net Flow has advantages of con 2venient configuration ,low cost and small occupied resources.This paper analyses the principle of realization of Net Flow ex 2change technique collecting network flux information.Then both from the network layer and transport layer ,the paper discuss 2es some relevant applications of Net Flow network flux collection technique using in network information security areas. K ey w ords :　flux collection ;　Net Flow ;　network attack 收稿日期:2009207209. 作者简介:孟晓蓓(19572),女,高级实验师.E 2mail :meng1025@https://www.360docs.net/doc/23309484.html, 随着Internet 和Intranet 的发展,网络用户、接入设备日益增长,对计算机网络的安全运行产生了压力。因此,计算机网络状况的实时监控的工作,显得十分必要。计算机网络状况的实时监控的一个重要环节,就是网络上的数据流量进行统计和分析。由于各种各样的应用对网络带宽的需求越来越高,传统的网络流量统计和数据采集方式开销大、对数据传输延时的影响大,已经不能满足现在的需求,因此,需要一种新的流量统计技术来适应现在的网络环境。Net Flow 技术正是这样的能适应新环境的流量采集方法。 1　网络流量采集的特点和方法理想的数据采集方式应该具备以下一些特点[1]: 1)不影响数据流转发的速度　在整个数据流的采集过程中,不能有明显影响数据流转发速度的状况发生。如果在数据采集的过程中,数据流转发的速度明显下降,不能真实地反映网络流量状况,这违背数据采集的根本目的。 2)占用资源小　对数据流进行采集的过程中,可能需要在路由器(交换机)中进行流量统计,并且储存所

关于ip route-cache flow 和netflow

利用ip route-cache flow这个接口配置命令，可以为IP路由启用NetFlow交换，为了禁用NetFlow交换，可以利用该命令的“no”格式进行。 ip route-cache flow no ip route-cache flow 句法描述该命令没有变量或关键词默认情况禁用命令模式接口配置模式操作要点该命令第一次出现时是在Cisco IOS 11.1版中。 NetFlow交换是一个高性能的网络层交换路径。作为其交换功能的一部分，它还可以获取丰富的统计信息。这些统计信息包括：用户、协议、端口和服务类型等数据，这些信息用途很广，可以用来进行网络分析和规划，还可以进行记费、结帐等。为了输出NetFlow数据，可以利用ip flow-export这个全局配置命令进行。对于所有的接口类型，IP数据或IP封装的数据都支持NetFlow交换，但ATM LANE封装不支持NetFlow交换。当在接口上使用多个输入访问控制列表时，ISL/VLAN、ATM、帧中继封装不支持NetFlow交换。网络层上的常规交换中，每个进入的数据包都要单独处理，利用一系列函数去检查访问列表、获取记帐数据、交换该数据包。而在NetFlow交换中，如果已经标识了信息流，而且对信息流中第一个数据包已进行了访问列表处理，那么后面所有的数据包都作为信息流的一部分，在面向连接的基础上进行处理，这样就绕过了访问列表的检查，进而依次对数据包进行交换和获取统计信息。 NetFlow 被标识为源头和目的地之间的一个单向的数据包流，而源头和目的地都定义了网络层的IP地址和传输层的端口号。特别地，一个信息流（flow）被标识成下列字段的组合：·源头IP地址 ·目的地IP地址

流量分析新贵-NetFlow

流量分析新贵:NetFlow https://www.360docs.net/doc/23309484.html,/networks/ 2006年09月29日15：54 来源：厂商稿件作者:东软:姚伟栋字号：小 | 大【文章摘要】IP网络承载能力与所提供的应用业务规模向来都是相辅相成的，一方面IP网络的建设将给新应用技术的推广提供有效的实施平台，另一方面应用业务也会随着自身系统发展需要而对现有IP网络提出更高的资源需求，从而推动IP网络基础建设进入新的建设周期。 IP网络承载能力与所提供的应用业务规模向来都是相辅相成的，一方面IP网络的建设将给新应用技术的推广提供有效的实施平台，另一方面应用业务也会随着自身系统发展需要而对现有IP网络提出更高的资源需求，从而推动IP网络基础建设进入新的建设周期。在这种类似于“鸡生蛋、蛋生鸡”的逻辑悖论中，另外一个问题却是毋庸置疑的凸现了出来，那就是如何把应用业务与其所占用的IP资源(如带宽)清晰、准确的对应起来，如何保证有限的IP资源能够被合理应用的到主要利润业务中。以NetFlow为代表的Flow技术正是为响应这种挑战而出现的新型解决途径。什么是Flow 在最开始，Flow是网络设备厂商为了在网元设备内部提高路由转发速度而引入的一个技术概念，其本意是将高CPU消耗的路由表软件查询匹配作业部分转移到硬件实现的快速转发模块上(如Cisco的CEF模式)。在这种功能模式中，数据包将通过几个给定的特征定义归并到特定的集合中，这个集合就是Flow。每个Flow的第一个数据包除了促使该Flow记录的产生以外，还要驱动网元三层模块完成路由查询并将查询结果同期放入Flow记录中，而该Flow集合的后续数据包将直接在Flow的已有记录中获得路由转发信息，从而提高了网元设备的路由转发效率。作为网元设备内部路由机制优化的副产物，Flow记录能够提供传统SNMP MIB无法比拟的丰富信息，因此Flow数据被广泛用于高端网络流量测量技术的支撑，以提供网络监控、流量图式分析、应用业务定位、网络规划、快速排错、安全分析(如DDOS)、域间记帐等数据挖掘功能。相对于会话(“Session”)而言，“Flow”具备更细致的标识特征，在传统的TCP/IP五元组的基础上增加了一些新的域值，至少包括以下几个字段： -源IP地址 -目的IP地址 -源端口 -目的端口 -IP层协议类型

Netflow网络流量分析手册

Netflow网络流量分析手册作者：聂晓亮（毛蛋哥）

目录一、作者简介 (4) 二、为什么会有这本书 (5) 三、流量分析原理 (6) (一)原始流量分析方式 (6) (二)Netflow分析方式 (6) 四、流量采样 (8) (一)在网络设备上开启Netflow功能 (8) (二)网络设备不支持Netflow (9) 1.部署方式 (9) 2.安装Fprobe (11) 3.启动Fprobe (11) 4.镜像流量至Fprobe服务器 (12) 5.检测是否收到Netflow数据 (12) 五、部署服务器 (13) (一)硬件需求 (13) (二)安装FreeBSD (13) (三)安装Nfsen (14) 1.安装apache22 (14) 2.安装php5 (14) 3.安装nfsen (15) (四)安装PortTracker (15)

(五)访问Nfsen (16) 六、抓贼攻略 (18) (一)了解网络运行状况 (18) (二)什么协议吞了带宽 (22) (三)抓出罪魁祸首 (25) 七、感谢 (30)

一、作者简介本书作者聂晓亮，网名毛蛋哥。2004 年毕业于北京联合大学信息工程学院，热爱网络相关知识及摄影，机缘巧合参加了 Cisco认证培训，并获得了一些成绩。本书写于2008年10月，作者目前状态工作较为舒适，故有空闲时间完成此书。聂晓亮（毛蛋哥）拥有自己的Blog及Wiki空间，其中记录了作者的工作、生活、学习。作者希望通过此书以及Blog、Wiki同全世界的网络爱好者分享其知识与快乐。聂晓亮（毛蛋哥）的Blog：https://www.360docs.net/doc/23309484.html, 聂晓亮（毛蛋哥）的Wiki：https://www.360docs.net/doc/23309484.html, 欢迎交流：pharaohnie@https://www.360docs.net/doc/23309484.html,

Netflow技术白皮书

烽火网络Netflow技术白皮书目录烽火网络NETFLOW技术白皮书 (1) 1.概述 (1) 2.参考标准 (1) 3.技术介绍 (2) 3.1. 常用术语 (2) 3.2. Netflow的应用场合 (2) 4.系统容量 (2) 5.配置命令 (3) 5.1. 全局配置命令 (3) 5.2. 执行命令 (3) 5.3. DEBUG命令 (3) 6.组网应用 (4) 7.故障分析 (5) 1. 概述随着Internet应用的蓬勃发展，企业可及时的将分散与世界各地的有用资源统筹串连起来，所有林林总总的网络活动，无不显示着网络已成功的成为资讯来源以及电子商务的作业平台。由于图形、广播、给视频科技越来越普及，网络的资料约每天成长一倍，获取网络效率的提升并不乐观，网络的带宽，网站服务器的性能，同时间上网的人数，某些特殊事件造成网络的拥塞等，这些都会影响到网络流畅与否。使用者期望得到有效率及快速的使用，但常因为连线时间不稳或反应时间慢，因而令使用者感到失望。因此网络对外的连接品质和网络性能受到很大冲击，在此期间，已迫切的需要能够评估构建一个可满足目前需求、同时要兼顾未来的成长空间的网络环境。此时，可利用路由器的监视功能（Netflow）来收集网络的带宽使用信息，从获得的流量数据中可以获取以下信息：(1)何种网络协议是流量的瓶颈所在；（2）满足使用者对网络的需求，提高客户满意度；（3）通过网络应用服务的使用者的IP进行排名，查看是否有无不同的使用；（4）获得内部流量和外部流量的对比，来了解网络的使用状况和未来的发展方向。 2. 参考标准 ? NetFlow Services Solutions Guide，Cisco 2001

NetFlow学习笔记

NetFlow是一种数据交换方式。Netflow提供网络流量的会话级视图，记录下每个TCP/IP事务的信息。也许它不能象tcpdump那样提供网络流量的完整记录，但是当汇集起来时，它更加易于管理和易读。Netflow由Cisco创造。工作原理：NetFlow利用标准的交换模式处理数据流的第一个IP包数据，生成NetFlow缓存，随后同样的数据基于缓存信息在同一个数据流中进行传输，不再匹配相关的访问控制等策略，NetFlow缓存同时包含了随后数据流的统计信息。NetFlow有两个核心的组件：NetFlow缓存，存储IP流信息；NetFlow的数据导出或传输机制，NetFlow利用此机制将数据发送到网络管理采集器。概念：一个NetFlow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流，且所有数据包具有共同的传输层源、目的端口号。确定Flow的标识：SIP+DIP+SPORT+DPORT +Layer 3 protocol type + TOS byte() + Router or switch interface 数据采集格式 NFC(Cisco NetFlow Collector) 可以定制多种NetFlow数据采集格式，下例为NFC2.0采集的一种流量数据实例，本文的分析都基于这种格式。 61.*.*.68|61.*.*.195|64917|Others|9|13|4528|135|6|4|192|1 数据中各字段的含义如下：源地址|目的地址|源自治域|目的自治域|流入接口号|流出接口号|源端口|目的端口|协议类型|包数量|字节数|流数量 cache缓存空间

solarwinds 9.5 +Netflow anaylzer 3.5 manual

Solarwinds9.5+Netflow Analyzer 3.5部署与使用本文概览 1如何使用9.5监控和分析网络流量 2.如何在CISCO设备上配置Netflow Mornitor 3.如何使用Netflow Analyzer 3.5插件（主件必须是Solarwinds9.5,个版本有相应不同的Netflow插件）（一）如何使用9.5监控网络流量 Solarwinds9.5部署前，首先需要安装SQL SERVER 2005 并且打上SP1补丁安装过程就不详细描述了，“下一步”到底。配置有问题请谷歌 Solarwinds信息分析使用web管理+application应用结合的方式主要组件有System Manager 、Orion Web Console、Report Write、Alert Manager 、Netflow Web Console(需安装Netflow插件) （一）Orion Web Console：使用WEB的方式直观的获取信息数据、图表、图形 a.登陆并添加一个节点

b.进入console页面-- 点击admin --点击Add a Node添加节点 c.输入节点的IP地址，输入Community String，这个是你在被管理设备中设定的SNMP 团体名建议用一串复杂的符号不要用Public因为默认的public比较通用，不安全，按Validate SNMP进行验证（XX.XX.XX.XX举例） d.选择需要监控的项目-下一步

e.下一步完成。现在我们看到我们前面添加的设备已经运行

可以查看运行及使用情况，如：网卡利用率，磁盘容量

CISCO系列路由器交换机NETFLOW配置

CISCO系列路由器交换机NETFLOW配置 1、config全局状态下配置netflow版本号： (config)#ip flow-export version 5 此命令将netflow配置为版本5。本程序暂时只支持netflow版本V1、V5、V6。 2、config全局状态下配置netflow服务器地址和端口号： (config)#ip flow-export destination xxx.xxx.xxx.xxx 55888 其中，xxx.xxx.xxx.xxx为netflow服务器地址，即运行netflow版流量监视程序主机的IP地址，55888为服务端口号。 3、在Cisco系列路由器交换机每个接口上（例如interface fastethernet0/0；interface fastethernet0/1等）配置： (config-if)#ip route-cache flow 4、Config全局状态下设置时区 (config)#clock timezone Beijing 8 此命令配置为北京时间，+8时区。 5、enable状态下设置日期时间 #clock set 17:05:00 6 aug 2003 此命令配置为2003年8月6日17时05分00秒。注重：要先配时区，后设置日期时间。同时接收netflow报文的计算机也要配置成相应的时区。有的Cisco机型掉电后，需重新设置日期和时间。 ********************************************************************* **************************** Netflow 配置实例 1、在全局模式下配置以治理员身份登陆路由器，执行如下操作进行Netflow配置。

cisco netflow 部署说明

1 NETFLOW支持设备： Cisco 800, 1700, 2600 Yes Cisco 1800, 2800, 3800 Yes Cisco 4500 Yes Cisco 6500 Yes Cisco7200, 7300, 7500 Yes Cisco 7600 Yes Cisco 10000, 12000, CRS-1 Yes Cisco 2900, 3500, 3660, 3750 No netflow是ios平台技术，也就是说路由器全系列都支持，而交换机平台则依赖于IOS版本和支持硬件，例如 Cisco 2900, 3500, 3660, 3750就不支持我们关注交换网络核心设备： 6500/7600 系列： 1 启动netflowSwitch(config)# mls netflow 2 启动netflow 的双向流量 Switch(config)# mls flow ip destination-source 后面可接其他参数 3、进入VLAN，启动接口Netflow（如果在物理接口上其3层，则直接进入物理接口） Switch(config)# interface vlan 5 Switch(config-if)# ip flow-export ingress-----此处为ingress 可以配置engress 依赖ios版本 Switch(config-if)# ip route-cache flow 4 配置Netflow的数据源，如果没有配置Loopback的接口，可以采用物理

接口，建议配置Loopback接口Switch(config)# ip flow-export source loopback 0 5 配置统计信息的输出目的，即采集服务器的ip和监听端口 (config)#ip flow-export 10.1.200.201 9991 7. 配置输出版本，目前可支持版本1和5 (config)#ip flow-export version 5 下面为参考命令： Switch# show mls nde一般看到都是Netflow Data Export disabled 这说明Netflow都没有起来。参看Cisco 《Configuring NetFlow Data Export》PDf文档，默认是Disabled的启动NDE发送以及发送版本Switch(config)# mls nde sender [version {5 | 7}] 如果只输入mls nde sender 系统默认启用的是版本7，如果需要版本5，则mls nde sender version 5 ，目前版本能配的是5或7，这两个版本WEB均能出现正常的数据。对于Cisco IOS 12.17以下版本的交换机，只有版本7。参考部分用户反映netflow网管机器，没有收到数据包，可参考上面命令酌情配置，未必有效 4500 系列： 1 配置Netflow的数据源，如果没有配置Loopback的接口，可以采用物理接口，建议配置Loopback接口Switch(config)# ip flow-export source loopback 0 2 配置统计信息的输出目的，即采集服务器的ip和监听端口 (config)#ip flow-export 10.1.200.201 9991 3. 配置输出版本，目前可支持版本1和5 (config)#ip flow-export version 5 4. 设置路由器中flow cache的过期时限，建议按照以下配置：活动连接的时限为1分钟（即活动的连接每隔1分钟发送该连接的数据流量统计信息），非活动连接的时限为10秒钟。 (config)#ip flow-cache time active 1 (config)#ip flow-cache time inactive 10 (config)#ip flow-cache active-timeout 30 5部分Cisco4500就不支持，也就是它不能在某个Interface配置打开

netflow学习笔记

netflow学习笔记安装环境注意：netflow服务需要消耗大量的cpu资源，所以尽可能的多分配cpu资源操作系统：windows 2008 r2 软件名称：ManageEngine_NetFlowAnalyzer_9861 安装步骤，只需下一步下一步即可，默认自带的数据库是postgres，可选择自行安装sqlserver netflow设备配置需要上防火墙和路由器设备进行参数配置（需要防火墙和路由器口令）服务监听端口：9996 web访问端口：8080 实体router配置： a、在全局模式下配置：以管理员身份登陆路由器，执行如下操作进行Netflow配置；router#configure terminal router(config)#ip flow-export destination 10.182.15.247 9966 router(config)#ip flow-export source loopback 0 router(config)#ip flow-export version 5 router(config)#ip flow-cache timeout active 1 router(config)#snmp-server ifindex persist b、在端口配置模式下配置 router#configure terminal router(config)#interface FastEthernet 0/0 router(config-if)#ip route-cache flow router(config-if)#exit c.验证命令 show ip flow export 显示当前Netflow的配置。 show ip cache verbose flow 显示当前活动数据流概要，设备输出了多少Netflow数据。web界面控制台安装完发现设备后可以通过web界面的控制台来操作，安装完首页如图：

各品牌网络设备SNMP及NetFlow配置集

一、JUNIPER设备 1.Snmp的配置 set system static-host-mapping E450 inet 192.168.1.45 set system syslog user * any emergency set system syslog host E450 any any set system syslog host 192.168.1.251 any any set snmp community net123 authorization read-write set snmp community net123 clients 192.168.1.251 set snmp community net123 clients 192.168.1.251 set snmp community net123 clients 0.0.0.0/0 set snmp trap-group version all set snmp trap-group authentication chassis configuration link remote-operations rmon-alarm routing startup vrrp-events set snmp trap-group targets 192.168.1.45 set snmp trap-options source-address lo0 set routing-options options syslog level emergency alert critical error warning notice info debug commit https://www.360docs.net/doc/23309484.html,Flow配置 set firewall filter gd-ipnet-m160-1 term net123 then sample set firewall filter gd-ipnet-m160-1 term net123 then accept set interfaces ge-4/1/1 unit 0 family inet filter input net123 "在ge-4/1/1口上对input包作采样 set interfaces ge-4/1/1 unit 0 family inet filter output net123 "对output包作采样 set forwarding-options sampling input family inet rate 1000 "采样率为1000 set forwarding-options sampling input family inet run-length 0 set forwarding-options sampling output cflowd 211.139.136.108 port 3055 "接受NetFlow采样包的目的主机为211.139.136.108

NetFlow还是sFlow

NetFlow还是sFlow？大多数网络管理员将流量分析列入他们的10大职责清单当中，但他们并没有太多地使用数据包分析器。这是NetFlow和sFlow带来的好处，可以在无须部署探测器的情况下提供他们通常寻找的大多数信息。事实上，当前可利用SNMP管理的交换机和路由器大多数都支持NetFlow或sFlow当中的一种。但同时也出现了一个问题：NetFlow和sFlow两种监测技术哪个更好？毕竟，目前多数网络厂商的设备只支持其中一种技术。 NetFlow流行v5 “支持NetFlow提供更好的网络可见性依然是我们广域数据服务战略的组成部分。”——Riverbed Technology公司产品营销副总裁Alan Saldich NetFlow（或者名为NetStream、IPFIX或Jflow的变种）最初是由思科公司开发的一种专有技术，它被应用在思科的互联网操作系统（IOS）中，目前部署最多的版本是v5。不过，v7和v9正在变得越来越普及。最近，Internet工程任务组发布了一项叫做“IP Flow Information eXport （IPFIX）”的标准，这项标准基于NetFlow v9的数据输出格式。支持NetFlow 的厂商包括思科、Enterasys Networks、Juniper Networks、Nortel、Riverstone Networks (已被Lucent收购)、Riverbed、Packeteer以及其他许多厂商。 NetFlow是路由器用来跟踪每个开启NetFlow功能接口上的所有进入会话的技术。它根据7个关键标准分析数据包，如果两个包在所有7个判断标准上都匹

netflow配置V9版本

配置NetFlow数据输出，使用版本9的出口格式

Ip flow-export version 9 第7步Ip flow-export interface-names Example: Router(config)# Ip flow-export interface-names 配置NetFlow数据出口到包括从流出口到目的地系统NetFlow高速缓存条目时，它的接口名。第8步Ip flow-export template refresh-rate packets Example: Router(config)# Ip flow-export template refresh-rate 15（可选）启用NetFlow高速缓存条目的信息出口。刷新率包关键字参数对指定出口前的模板重新发送的数据包数量。您可以指定从1到600的数据包。缺省值是20。第9步Ip flow-export template timeout-rate minutes Example: Router(config)# Ip flow-export template timeout-rate 90 （可选）启用NetFlow高速缓存条目的信息出口。超时率分钟关键字参数对指定时间前的模板重新发送。您可以指定从1到3600分钟。默认值是30。第10步Ip flow-export template options export stats Example: Router(config)# Ip flow-export template options export-stats （可选）启用NetFlow高速缓存条目的信息出口。出口统计关键字指定的出口统计数据，包括出口流量的总数和出口的数据包的总数。第11步Ip flow-export template options refresh-rate packets （可选）启用NetFlow高速缓存条目的信息出口。刷新率包关键字参数对指定出口前的模板重新发送的数据包数量。您可以指定从1到600的数据包。缺省值是

基于netflow的大数据自动采集平台

1.简介本架构是一个基于Softflowd，Kafka，Spark Streaming，Elk，Django开发的网络数据流监控分析平台，支持的网络数据流格式为NetFlow V9与NetFlow V5。通过本平台可以对进入和流出的流量进行异常分析。 2.系统需求硬件： Ubuntu 16.04服务器（CPU 16核、内存32G、硬盘200G）软件： 1.Python 3及以上版本 2.Softflowd 3.Kafka 2.0及以上版本 4.Spark 2.0及以上版本 5.ELK 6.0及以上版本 6.现代浏览器（火狐、360急速等） 3.架构本架构模块分为网络数据流量探针、网络数据流收集器、实时数据传输器、实时

数据处理器、搜索存储服务器和Web应用。整体架构图如下： 1网络数据流量探针 softflowd是一个基于流的网络流量监控器，它实现了思科的网络流系统，能够把数据流版本为V1，V5和V9的数据进行导出，同时它自身也支持一些轻量级别的网络数据分析。它默认实现了支持处于激活状态的网络数据流，如果一个数据流静态，则会被标志为过期状态过滤掉。 2 网络数据流收集器 1. Logstash

Logstash 是一个开源的服务端数据处理流程，可同时从多个源中获取数据，将其转换，然后将其发送到“收藏”中，目前拥有超过200 个插件。它能集中、转换和藏匿您的数据。 2. IPFIXcol IPFIXcol是一个IPFIX网络数据流的收集器，可以监听一个输入端口，当网络数据流的数据被收集到后，会根据用户的配置对收集到的数据进行格式化。格式化后的数据可以以json的形式保存于文件中、或者以网络端口的形式把收集到的数据传输出去。 3. NFDUMP NFDUMP是一个数据流收集器，它支持数据流版本为V5，V7以及V9的数据。它存在一个nfcapd的数据流抓取库，可以把抓取来的网络数据保存到文件中，它默认每5分钟将一系列的数据流数据保存到对应的按时间生成的文件中去。 nfdump也是NFDUMP中的一个库，我们可以使用这个库来读取nfcapd抓取到的数据流数据，支持根据文件读取对应的数据。 nfreplay支持将nfcapd读取到的数据直接通过网络传输到另外的端口上去。

NETFLOW教程

NetFlow教程 1NetFlow介绍 1.1 NetFlow的产生原因 ●由网络设备进行原始统计信息的汇聚可以大大减少网络设备输出的数据量，降低对上层管理服务器的配置要求，提高上层管理系统的扩展性和工作效率。 ●虽然SNMP有助于容量规划，但无法提取流量特征，而只有了解了特征，才能保证业务连续性，确定是否需要增加容量才能提高利用率保证，以及评估QoS参数是否符合目标服务水平要求等 ●流量特征提取遇到的另一个困难是，许多新应用每次使用的端口都不相同，它们每次都动态选择新端口使用。 1.2 NetFlow技术的起源 NetFlow技术最早是于1996年由思科公司的Darren Kerr和Barry Bruins发明的，并于同年5月注册为美国专利，专利号为6,243,667。NetFlow技术首先被用于网络设备对数据交换进行加速，并可同步实现对高速转发的IP数据流(Flow)进行测量和统计。经过多年的技术演进，NetFlow原来用于数据交换加速的功能已经逐步由网络设备中的专用ASIC芯片实现，而对流经网络设备的IP数据流进行特征分析和测量的功能也已更加成熟，成为了当今互联网领域公认的最主要的

IP/MPLS流量分析和计量行业标准，同时也被广泛用于网络安全管理。利用NetFlow技术能对IP/MPLS网络的通信流量进行详细的行为模式分析和计量，并提供网络运行的准确统计数据，这些功能都是运营商在进行网络安全管理时实现异常通信流量检测和参数定性分析所必需的。 1.3 什么是NetFlow ●通过分析网络中不同Flow间的差别，可以发现判断任何两个IP 数据包是否属于同一个Flow。实际上可以通过分析IP数据包的以下7个属性来实现：源IP地址（Source IP address）目的IP地址（Destination IP address）源端口号（Source port number）目的端口号（Destination port number）协议类型（Protocol type）服务类型（Type of service）输入/输出接口（Input/Output interface）将路由器的所有数据包分成很多有以上信息的7字段值的单向IP 数据流，称为网流（NetFlow）。流量信息是基于每个流做统计的。 ●网流设备是通过IP数据包中的七元组信息来识别网流的。网流设备上有专门的缓存，用于暂存网流初步的统计数据。当网流设备配置了网流统计功能并启动了网流转发功能后，网流设备会周期性的把网